Linux 15.009 Themen, 106.835 Beiträge

Verfolgung starten Optionen

Firewall blockt internes routen

Benedict / 13 Antworten / Flachansicht Nickles

Ahoi zusammen

ich habe ein Problem mit meiner Firewall unter SuSE 7.0

Der Linux Server wird als Router für 4 Netzwerke (intern) und zum
Internet eingesetzt. Die Internetanbingung erfolgt per DSL.

Squid, Samba, Send- u. Fechtmail sowie das Routen der internen Netzwerke
läuft alles wunderbar.
Wenn ich jedoch die Firewall aktiviere stopt alles. Fatal bei ist, dass auch das
Routing der internen Netze geblockt wird.

Der Bootvorgang läuft sauber durch und die Firewall wird ohne Fehlermeldung initialisiert.
Anbei die Conf-Datei der Firewall. Vielleicht sieht einer von euch den Fehler oder kennt
das Problem. Eigenltich sollte mit den Einstellungen alles offen sein.

Mit freundlichen Grüßen

Benedict

FW_DEV_WORLD="ppp0"
FW_DEV_WORLD_ppp0="192.168.0.1 255.255.255.0"
FW_DEV_INT="eth1 eth2 eth3 eth4"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.0.0/16 192.168.10.0/24 192.168.14.0/24 192.168.21.0/24"
FW_MASQ_DEV="$FW_DEV_WORLD" # e.g. "ippp0" or "$FW_DEV_WORLD"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_GLOBAL_SERVICES="no" # "yes" is a good choice
FW_SERVICES_EXTERNAL_TCP="1:65000" # Common: smtp domain
FW_SERVICES_EXTERNAL_UDP="1:65000" # Common: domain
FW_SERVICES_DMZ_TCP="" # Common: smtp domain
FW_SERVICES_DMZ_UDP="" # Common: domain syslog
FW_SERVICES_INTERNAL_TCP="1:65000" # Common: ssh smtp domain
FW_SERVICES_INTERNAL_UDP="1:65000" # Common: domain
FW_TRUSTED_NETS=""
FW_SERVICES_TRUSTED_TCP="" # Common: ssh
FW_SERVICES_TRUSTED_UDP="" # Common: syslog time ntp
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" # Common: "ftp-data" (sadly!)
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" # Common: "dns"
FW_SERVICE_DNS="no" # if yes, FW_SERVICES_*_TCP needs to have port 53
# (or "domain") set to allow incoming queries.
# also FW_ALLOW_INCOMING_HIGHPORTS_UDP needs to be "yes"
FW_SERVICE_DHCLIENT="no" # if you use dhclient to get an ip address
# you have to set this to "yes" !
FW_SERVICE_DHCPD="no" # set to "yes" if this server is a DHCP server
FW_SERVICE_SAMBA="no" # set to "yes" if this server uses samba as client
# or server. As a server, you still have to set
# FW_SERVICES_{WORLD,DMZ,INT}_TCP="139"
# Everyone may send you udp 137/138 packets if set
# to yes!
# (note: samba on the firewall is not a good idea!)

FW_FORWARD_TCP="192.168.0.0/16" # Beware to use this!
FW_FORWARD_UDP="192.168.0.0/16" # Beware to use this!
FW_FORWARD_MASQ_TCP="" # Beware to use this!
FW_FORWARD_MASQ_UDP="" # Beware to use this!
FW_REDIRECT_TCP=""
FW_REDIRECT_UDP=""
FW_LOG_DENY_CRIT="yes"
FW_LOG_DENY_ALL="yes"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="yes"
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_FW_TRACEROUTE="no"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_MASQ_MODULES="autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"

bei Antwort benachrichtigen
FW_PROTECT_FROM_INTERNAL no Das muss auf yes BTW, warum benutzt Du den ... Klaus_T
Oops, vertan. Es muss so heissen: ... Klaus_T
Ja, ich hab sogar 5 Netzwerkarten drin, wenn man die für DSL mitzählt. Das ... Benedict
Die Ipchains-Regeln haben mit dem Firewallpaket nicht viel zu tun. Wenn Du ... Klaus_T
Das die Firewall ganz offen ist, ist klar. Da sie nicht funtionierte hab ich ... Benedict
hey Benedict, ich will dich nicht beleidigen oder so, aber mein gefuehl sagt ... RAO
Ahoi, ich will dich auch nicht beleidigen, aber das einzig konstruktive von ... (Anonym)
Hi, das Script /sbin/init.d/firewall wertet ab Suse 6.4 diese Variablen aus. ... AxelE
Ahoi und danke für die Antwort :- Mit dem eth0 anstelle von ppp0 hab ich es ... (Anonym)
hehe, benedict, linux tut sich schwer? nee, nee. du tust dir schwer mit ... RAO
Benedict RAO „hehe, benedict, linux tut sich schwer? nee, nee. du tust dir schwer mit linux....“
Optionen

Ahoi,

ich denke es ist eher deine Art und Weise gewesen, die mich aufgeregt hat. Ich versuche auch soviel wie möglich von Hand zu erledigen, alleine weil ich Linux "auch" als eine Art Strategiespiel sehe, in dem ich immer besser werden will.

z.B. ein " Ahoi , ich kann dir bei deinem konkreten Problem nicht helfen , aber versuch es doch mal mit einem eigenen Scripts....." wäre eine gute Antwort gewesen , die wohl den Sinn deines Threads auch entsprochen hätte.

Wenn jemand Hilfe sucht , braucht er keine Belehrung. Mir liegt es schwer im Magen, dass einem Newbie oft der Spaß an Linux genommen wird, weil er gleich eins auf den Deckel bekommt (selbst wenn es nicht so gemeint war), wenn er nur die zweit oder dritt beste Lösung herausgefunden hat. Dazu kommt noch, dass wir alle unterschiedlich Anforderungen ans System haben.

Mir würde ein automatisch erstelltes Script vorerst sicher reichen. Vor allem, weil ich einer bin, der gerne eine schnelle Lösung hat , die er dann verfeinern oder gegen eine Bessere austauschen kann. Wo wir bei unterschiedlichen Lerntypen wäre. Mir hilft z.B. ein Howto mit einem guten Beispiel (optimal mit Anmerkungen) viel mehr, etwas zu verstehen, als ein dickes Buch.

Zum Thema Fachmann kann ich nur sagen : Ich will keinen holen , sondern einer werden. Leider haben viele der Fachmänner vergessen , dass sie mal wie ich waren. Irgendwas zwischen Newbie und Fachmann.

Wichtig ist eigentlich nur, dass man hier konkret bleibt. Entweder am Problem selbst oder an der besseren Lösung. Grundsatzfragen kann man wie hier jetzt diskutieren, sollten aber nicht
bei Hilfegesuchen Einfluss nehmen.


Gruss

Benedict



PS: Mein Problem ist immer noch nicht gelöst und es kann sicher auch nicht für einen Fachmann falsch sein, dieses Problem lösen zu können.

bei Antwort benachrichtigen
was ich vergessen hab: ja es stimmt, .. genau habe ich die ... RAO
na komm schon ... ein Ahoi, danke fuer den hinweis, aber ich suche eine ... RAO